سلام دوستان . ببینید jwt رو ما در سمت کاربر ذخیره میکنیم. و اون رو در درخواست های خودمون توی header ارسال میکنیم . حالا اگر یکی این وسط sniff کنه و این توکن رو بدست بیاره خب به همه چی دسترسی داره دیگه . من متوجه نمیشم واقعا این موضوع رو .هرچیم میخونم چیزی دستگیرم نمیشه .
@alif
بله این مشکل وجود داره و تنها راهش استفاده از SSL معتبر و قویه برای جلوگیری از حملات man-in-the-middle
خب این مثل این میمونه طرف موبایلش رو بده به یک نفر دیگه تا پیام هاشو بخونه!
رمز موبایل واسه همین اختراع شده!
بعیده افراد عادی بتونن کد رو پیدا کنند و ازش استفاده کنند، مگر افراد حرفه ای یا هکر، که اگه کدی وجود داشته باشه قبلش خود اپ بازه و میتونن اطلاعات رو بخونن مگر اینکه فرد رمز دوم بذاره که کد بدرد هکر نمیخوره یا اینکه لاگ اوت بشه که کد هم منقضی میشه
@alif
خب یکی از دلایلش اینه که یوزر و پسورد و کلا اطلاعات یوزر لو نره و اینکه شما وقتی از بروزر استفاده میکنید session دارید و از سشن اطلاعات خونده میشه و اصطلاحا بروزر stateful هست بر خلاف api که سشن نداره و stateless هست و شما اطلاعات یوزر رو هر دفعه باید به سرور بفرستین و برای اینکه امن باشه با این روش رمزنگاری میشه و فرستاده میشه!
آیا مایل به ارسال نوتیفیکیشن و اخبار از طرف راکت هستید ؟